Na sequência de uma participação - que deu entrada na CNPD em 19 de março - relativa à comunicação à embaixada da Rússia em Portugal e ao Ministério dos Negócios Estrangeiros russo de dados pessoais dos promotores de uma manifestação, efetuada pelo município de Lisboa, a comissão de proteção de dados abriu um processo para averiguar a denúncia.

"Nos dias 17 e 22 de junho de 2022, a CNPD realizou ação inspetiva nas instalações do município de Lisboa para verificar o tratamento de dados pessoais relativo aos avisos de reuniões, comícios, manifestações ou desfiles, em lugares públicos", lê-se no relatório hoje divulgado por esta entidade, que conclui que a autarquia presidida por Fernando Medina (PS) cometeu um total de 225 contraordenações.

Segundo o projeto de deliberação da CNPD, hoje conhecido, 111 contraordenações dizem respeito à comunicação de dados a terceiros, 111 são relativas à difusão de informações para serviços e gabinetes municipais, existindo ainda uma comunicação que viola o "direito de informação", outra que põe em causa o princípio da limitação da conservação de dados e, por fim, uma contraordenação por ausência da avaliação de impacto sobre a proteção de dados (AIPD).

A coima relativa à contraordenação pela ausência da avaliação do impacto sobre a proteção de dados pode atingir 10 milhões de euros, enquanto as restantes 224 podem ir, cada uma, até aos 20 milhões de euros.

A CNPD defende no documento que a autarquia "procedeu a um conjunto de operações sobre informação relativa a pessoas singulares, no exercício de uma atividade pública específica, da qual resulta necessariamente impacto na privacidade e na liberdade daquelas e tinha obrigação de conhecer o enquadramento legal em que poderia, de facto, realizar esse conjunto de operações".

A Câmara de Lisboa agiu "de forma livre, deliberada e consciente" ao remeter 111 comunicações eletrónicas "com informação relativa a pessoas singulares que subscreveram os avisos de reuniões, comícios, manifestações e desfiles, para os serviços do município, os quais não tinham necessidade de conhecer aquela informação pessoal para a preparação e execução das tarefas públicas".

Agiu também "de forma livre, deliberada e consciente" ao enviar dados de manifestantes a terceiros, ao conservar informações "já depois de esgotada a finalidade que motivou a recolha", ao não informar os titulares da recolha da sua informação pessoal e também "ao não ter realizado a avaliação de impacto do tratamento de informação sobre os dados pessoais de grande sensibilidade", entende a comissão.

De acordo com a CNPD, o objetivo de uma AIPD é verificar que são cumpridas as obrigações legais quanto à proteção de dados pessoais, incumbindo ao responsável pelo tratamento, "neste caso o município de Lisboa, um especial cuidado no tratamento de dados relativos ao exercício do direito fundamental de reunião e manifestação".

A deliberação, datada de 30 de junho, refere que a Câmara de Lisboa será notificada para, querendo, exercer o direito de audição e defesa, no prazo de 10 dias úteis a contar da data de receção do documento.

A CNPD refere ainda que "na fixação do montante, aquando da determinação da medida concreta da coima única" serão tidos em conta aspetos como "a gravidade da infração", o "caráter intencional ou negligente", a iniciativa tomada "para atenuar os danos sofridos pelos titulares", conforme estabelece o Regulamento Geral de Proteção de Dados (RGPD).

A Câmara de Lisboa agendou para hoje a exoneração do encarregado de proteção de dados do município e coordenador da equipa de projeto de proteção de dados pessoais, Luís Feliciano, na sequência deste caso, mas a votação foi adiada para sexta-feira.

Em 21 de junho, a Associação dos Profissionais de Proteção e de Segurança de Dados (APDPO) defendeu que a exoneração do encarregado da proteção de dados da Câmara de Lisboa é ilegal e anunciou que apresentará queixa se a situação se materializar.

A APDPO argumenta que este técnico "não é responsável, nem pode sê-lo, pelas obrigações que incubem ao responsável pelo tratamento", acrescentando que é "aos organismos nas pessoas dos seus dirigentes máximos, que incumbe adotar todas as medidas de proteção de dados".

[Notícia atualizada às 18h05]

Leia Também: Rússia afirma ter abortado ataques do grupo 'jihadista' Estado Islâmico